Robert R.: Sicherheitslücke in libc6

Liebe Mitdenker,
liebe Wissende,
liebe Neugierige,

ja!

in der libc6 von Debian ist eine gravierende Sicherheitslücke entdeckt worden.
Unter der Bezeichnung "GHOST" findet man etwas darüber...

Mehr nachher.

Spirituelle Grüße
Euer Robert

--
Möge der Forumsgeist wiederbelebt werden!
  1. Hallo

    in der libc6 von Debian ist eine gravierende Sicherheitslücke entdeckt worden.

    … ja, vor etwa zwei Jahren. Mit Debian hat das auch nur insofern zu tun, dass dies gerne als Server-BS genutzt wird, wo vorwiegend gut abgehangene und deswegen betroffen sein könnende Software eingesetzt wird.

    Tschö, Auge

    --
    Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
    Terry Pratchett, "Wachen! Wachen!"
    ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
    1. Liebe Mitdenker,
      liebe Wissende,
      liebe Neugierige,

      ja!

      Hallo

      in der libc6 von Debian ist eine gravierende Sicherheitslücke entdeckt worden.

      … ja, vor etwa zwei Jahren.

      Siehe https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability

      Spirituelle Grüße
      Euer Robert

      --
      Möge der Forumsgeist wiederbelebt werden!
      1. Liebe Mitdenker,
        liebe Wissende,
        liebe Neugierige,

        ja!

        … ja, vor etwa zwei Jahren.

        Siehe https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability

        und hier: http://www.ubuntu.com/usn/usn-2485-1/

        nix "vor zwei Jahren"
        Die Lücke ist wiederbelebt worden

        Spirituelle Grüße
        Euer Robert

        --
        Möge der Forumsgeist wiederbelebt werden!
        1. @@Robert R.:

          nuqneH

          Siehe https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
          und hier: http://www.ubuntu.com/usn/usn-2485-1/

          nix "vor zwei Jahren"
          Die Lücke ist wiederbelebt worden

          http://www.heise.de/security/meldung/Ghost-Uralte-Luecke-in-Glibc-bedroht-Linux-Server-2530159.html?wt_mc=sm.feed.tw.security

          Qapla'

          --
          „Talente finden Lösungen, Genies entdecken Probleme.“ (Hans Krailsheimer)
        2. Hallo

          … ja, vor etwa zwei Jahren.

          Siehe https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
          und hier: http://www.ubuntu.com/usn/usn-2485-1/

          nix "vor zwei Jahren"

          Hier der Suse-Fix vom 21.01.2013.

          Die Lücke ist wiederbelebt worden

          Neee, sie ist in bestimmten Distributionen offen geblieben, weil sie sowohl von dem Suse-Entwickler, der den oben verlinkten Fix gebaut hat, als auch von Google, wo die Lücke auch schon gefunden und im April 2014 geschlossen wurde, leider nicht an die große Glocke gehangen wurde.

          Tschö, Auge

          --
          Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
          Terry Pratchett, "Wachen! Wachen!"
          ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
          1. Liebe Mitdenker,
            liebe Wissende,
            liebe Neugierige,

            ja!

            Neee, sie ist in bestimmten Distributionen offen geblieben, [...]

            Ich verstehe jetzt nicht, was Du herumeierst.

            Lücke ist Lücke, egal wann sie von wem erstellt oder entdeckt und _nicht_ geschlossen wurde.

            Damit ist Das Thema für mich durch!

            Spirituelle Grüße
            Euer Robert

            --
            Möge der Forumsgeist wiederbelebt werden!
            1. Hallo

              Neee, sie ist in bestimmten Distributionen offen geblieben, [...]

              Ich verstehe jetzt nicht, was Du herumeierst.

              Lücke ist Lücke, egal wann sie von wem erstellt oder entdeckt und _nicht_ geschlossen wurde.

              Wenn dir Zusatzinformationen so zuwider sind, bitteschön.

              Damit ist Das Thema für mich durch!

              Jep, EOD

              Tschö, Auge

              --
              Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
              Terry Pratchett, "Wachen! Wachen!"
              ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
  2. Liebe Mitdenker,
    liebe Wissende,
    liebe Neugierige,

    ja!

    noch ein wenig Anleitung eines Hosters, der bei (Wieder-)Auftreten von Lücken sehr zeitnah [heute vormittag] informiert. [die Anmerkungen sind von mir]:

    <cite>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    wir möchten Sie über eine aktuelle Sicherheitslücke - Codename GHOST -
    informieren, die potentiell auch Ihre(n) Server bei uns betrifft. Es
    handelt sich hierbei um einen Fehler in den libc-Funktionen
    gethostbyname*, der unter Umständen zur Ausführung von Schadcode führen
    kann. Diese Lücke kann in bestimmten Situationen sogar von aussen
    ausgenutzt werden, ohne dass der Angreifer Zugänge zum System benötigt.

    Weitere Informationen finden Sie unter folgenden Links:

    https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
    https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

    Insbesondere bei Debian sind folgende Paketversionen NICHT mehr betroffen:

    squeeze-lts: 2.11.3-4+deb6u4 (nicht betroffen)
    wheezy: 2.13-38+deb7u7 (nicht betroffen)   [installiert war wheezy: 2.13-??+deb7u6]
    jessie, sid: 2.19-13 (nicht betroffen)

    Ältere Versionen (inklusive Sarge, Lenny und Squeeze-non-LTS) sind
    hingegen verwundbar. Im Zweifelsfall verwenden Sie das unten genannte
    Testkommando um Ihren Server zu prüfen.

    Die aktuelle Version können Sie mit dem Befehl:

    dpkg -s libc6 | grep Version

    ersehen.

    Falls Sie einen "Managed Server" bei uns gebucht haben wurden die
    Updates bereits durch uns auf dem Hauptsystem eingespielt. Anderenfalls
    bitten wir Sie, die Lücke schnellstmöglich zu schliessen.

    Unter Debian ist das Vorgehen in etwa wie folgt:

    • Prüfen, ob die richtigen Sources in /etc/apt/sources.list eingetragen
      sind (wheezy bzw squeeze-lts, ältere Versionen (inklusive squeeze)
      werden _nicht_ mehr gepflegt)

    • apt-get update

    • apt-get install libc6 (bzw. apt-get upgrade für eine vollständige

    Aktualisierung aller Pakete)

    • Ggf. betroffene Dienste neu starten (insbesondere Mailserver,
      Webserver, etc). Falls möglich wäre ein reboot die beste Lösung.

    [bei crypted private Keys daran denken, dass manchmal die Passphrase-Eingabe erforderlich ist]

    Mit folgendem Kommando können Sie testen, ob Ihr Server aktuell
    verwundbar ist:

    wget -qO - http://noc.n0q.de/files/ghost.sh | sh

    Die Ausgabe hat folgende Bedeutung:
    VULN - System verwundbar, updaten!
    SAFE - System nicht verwundbar
    FAIL - Fehler bei der Ausführung des Tests

    Falls Sie Fragen zu diesem Thema haben steht Ihnen unser technischer
    Support jederzeit zur Verfügung!

    Mit freundlichen Grüßen

    Antagus
    Abteilung Serversupport

      
      
    Spirituelle Grüße  
    Euer Robert
    
    -- 
    Möge der Forumsgeist wiederbelebt werden!
    
    1. wget -qO - http://noc.n0q.de/files/ghost.sh | sh

      Das sind genau diese Empfehlungen, denen man nie (NIE!) folgen sollte.

      Erstens: http-adresse. Unveschlüsselt, ungesichert. Da kann, selbst wenn ich "noc.n0q.de" vertraue, kommen was die NSA will.
      Zweitens: -q unterdrückt ja wohl Ausgaben. Das bedeutet, mir wird sogar jeder Rest von Kontrolle genommen.
      Drittens: Ich führe das gleich mal aus und zwar ohne mir anzusehen, was das macht. Klar doch ...

      Und was macht die ghost.sh?

      Die lädt einen Quelltext ghost.c herunter (hier gilt schon wieder Erstens bis Drittens), kompiliert diesen und führt das Binary aus.

      Jörg Reinholz